企業局域網的組建與網站建設

摘要本文針對企業局域網在組建和網站建設中的各種實際問題，從原理和實際應用上進行分析，特別是網絡安全方面，列出了一些可能出現的安全因素，并給出解決辦法，對將要組建或正在建設局域網的企業具有一定的指導意義。

關鍵詞企業局域網；網絡組建；網站建設1需求分析

隨著互聯網應用的普及，電子商務有了實質性的進展。對于一個企業來說，產品的介紹、銷售、技術服務和售后服務等越來越多地采用網絡的形式來完成，最主要的優點是：方便、快捷和成本低廉。

目前小型企業往往采用在互聯網絡上申請主頁空間或采用網絡主機托管的方式，這種方式在應用上很明顯有些不方便之處，所能提供的服務類型單一，并且資料數據都是放在別人的計算機上，讓別人來管理。對于大型企業和有機密數據的單位，往往不會采用這種方式，他們會在單位內部建立自己的中心機房，組建自己的局域網，同時申請電信的寬帶和固定IP，這樣，形成內外兩種網絡。如果，企業在異地有分支機構，還可以通過VPN方式進行安全通信。

對企業的需求進行嚴格的分析，設計出實際可行的網站建設方案，在網站策劃階段，可從以下一些方面考慮定位：

（1）網站硬性指標：您的網站是否能夠讓客戶很輕松、方便的登錄和記住，包括域名種類分布、域名品牌一致、網站語言版本、域名解析時間、請求響應時間、主機連接時間、下載時間、HTML綜合質量、圖片綜合質量、首頁布局質量、首頁信息類型等。

（2）網站推廣指標：您的網站推廣是否能讓更多的客戶與您往來，包括搜索引擎排名、網站知名度、推廣方案設計等。

（3）網站服務指標：客戶是否愿意與您往來，包括：您的回應時間、目標客戶、聯系層次、FAQ、幫助導航、服務流程、產品分類、產品描述、產品圖片、價格建議等。

（4）網站互動指標：您與客戶的互動效果如何；包括：客戶回應、解決時間、產品了解、客戶社區、客戶鑒別、客戶忠誠度、深化服務、需求調查等。2模塊設計

企業局域網可分為兩個模塊：企業互聯網模塊與企業局域網模塊。

1)企業互聯網模塊

企業互聯網模塊擁有與互聯網的連接，同時也端接VPN與公共服務（DNS、HTTP、FTP、SMTP）信息流。

企業互聯網模塊為內部用戶提供了與互聯網的連接并使用戶能夠通過互聯網訪問公共服務器上的信息，同時還為遠程地點和遠程工作人員提供了VPN訪問能力。

企業互聯網模塊涉及的關鍵設備有：SMTP服務器、DNS服務器、FTP／HTTP服務器、防火墻或防火墻路由器、第2層及以上交換機（支持專用VLAN）。

2)企業局域網模塊

企業局域網模塊包含第2層及以上交換功能與所有的用戶以及管理內部網服務器。企業局域網模塊包含最終用戶工作站、公司內部網服務器、管理服務器和支持這些設備所需的相關基礎設施、可網管的交換機等。3安全分析

1)企業互聯網模塊

擁有公共地址的服務器是最容易被攻擊的。以下是企業互聯網模塊潛在的威脅：未授權訪問、應用層攻擊、病毒與特洛伊馬攻擊、密碼攻擊、拒絕服務、IP電子欺騙、分組竊聽、網絡偵察、信任關系利用、端口重定向等。

在小型VPN網絡設計中，該模塊堪稱為極至。VPN功能被壓縮入一個機箱，但依然執行著路由選擇、NAT、IDS和防火墻功能。在確定如何實施該功能時，我們可使用帶防火墻和VPN功能的路由器。

這種選擇為小型網絡帶來了極大的靈活性，因為路由器將支持在當今網絡中可能是不可或缺的所有高級服務。作為一種替代措施，可使用帶VPN的專用防火墻來取代路由器。這種設置給部署造成了一些限制。首先，防火墻通常都只是以太網，要求對相應的WAN協議進行一些轉換。在目前的環境中，大多數有線和DSL路由器/調制解調器都是由電信服務供應商提供的，可用于連接以太網防火墻。如果設備要求WAN連接（如電信供應商的DSL電路），那么，就必須使用路由器。使用專用防火墻不具備輕松配置安全性和VPN服務的優勢，當發揮防火墻功能時，可提供改進性能。無論選用哪種設備，都要考慮一些VPN的因素。請注意，路由器傾向于允許信息流通過，而防火墻的缺省設置則傾向于阻止信息流通過。

從ISP的客戶邊緣路由器開始，ISP出口將限制那些超出預定閾值的次要信息流，以便減少DDoS攻擊。同時在ISP路由器的入口處，RFC1918與RFC2827過濾功能將防止針對本地網絡及專用地址的源地址電子欺騙。

防火墻為通過防火墻發起的會話提供了連接狀態執行操作以及詳細的過濾。擁有公共地址的服務器通過在防火墻上使用半開放連接限制能夠防止TCPSYN洪水。從過濾的角度講，除了將公共服務區域的信息流限定到相關地址和端口外，在相反的方向上也在進行過濾。如果某個攻擊涉及到一個公共服務器（通過規避防火墻和基于主機的IDS），那么這個服務器應該不會再進一步攻擊網絡。為了緩解這種攻擊，具體的過濾將防止公共服務器向其他任何地點發出任何未授權請求。例如，應該對Web服務器進行過濾，以便使其不能自身產生請求，而只能回答來自客戶機的請求。這種設置有助于防止黑客在實施最初的攻擊后將更多的應用下載到被破壞的機器。同時還有助于防止黑客在主攻擊過程中觸發不受歡迎的會話。

從主機的角度看，公共服務區域內的每個服務器均擁有主機入侵檢測軟件，用于監控OS級的任何不良活動以及普通服務器應用的活動（HTTP、FTP、SMTP等）。DNS主機應該只響應必要的命令，同時消除任何可能有助于黑客的網絡偵察攻擊的不必要響應。這包括防止從任何地點進行zone傳輸（合格的二級DNS服務器除外）。在郵件服務方面，防火墻在第7層過濾SMTP信息，以便只允許必要的命令到達